Архив метки: смотреть глазами

Тайм-менеджмент, как секта

Давно обещал Андрею Прозорову рассказать, почему тайм-менеджмент – это вредная фикция, и даже лже-наука. Начнем чутка из далека. Последние две недели все стали активно писать о том, как развиваться безопаснику. Например, типичная статья: Александр Бондаренко пишет о том, как повышать компетенции.

Если почитать внимательней, то там приводится копипаста с исследованием Deloitte о компетенциях безопасника, а потом идут мысли Александра, как этого достичь. Список там просто божественный, никак у меня подсмотрели. :) Главная проблема всех этих списков, всех этих 5 шагов к успеху, 7 ступеней к счастью и т.п., в том, что они совершенно оторваны от жизни. Например, в статье выше навязываются четкие 4 роли, причем переход от Защитника к Советнику — это качественный переход в карьерном плане, а в статье говорится лишь о развитии навыков. Советник в западной культуре — это человек, получающий деньги за консультации по фиксированному прайсу (самый яркий пример у нас – нотариусы). Такого в безопасности нет. В наших реалиях роль Советника – это роль директора департамента или его зама. Там много спорного (например, ROI :)), сегодня не об этом.

Тайм-менеджмент - секта. Глеб АрхангельскийСегодня о тайм-менеджменте. Я честно изучал тайм-менеджмент и купил книжку Глеба Архангельского «Тайм-драйв» (еще в 2010 году). И это не работает.

Во-первых, о названии. Менеджмент все у нас переводят как управление. Верно. Только менеджмент – это управление людьми. Если быть точным, то тайм-менеджмент переводится как «управление людьми времени» (сюда же риск-менеджмент, комплайнс менеджмент и т.п.). Ни про каких людей в книге нет. Наоборот, это книга управляет вами.

Во-вторых, структура книги, сама форма подачи слизана с тренингов личностного роста и методик а-ля «Простой способ быть счастливым». Если вам 25 лет, и вы до сих пор не умеете организовать свою жизнь, книги вам не помогут. Там есть всего один способ, или смерть как профессионала. Что уж говорить про 30, 35 и далее лет.

Цитата:

  • Используйте «якоря» для настройки на различные задачи и отдых.
  • Применяйте «метод швейцарского сыра» при раскачке.
  • Ежедневно съедайте минимум одну «лягушку».

Срань господня, это что такое? А я вам отвечу: в этих трех предложениях сразу пять фишек, использующиеся лже-науками, бизнес-тренерами и тоталитарными сектами:

  1. Птичий язык. Больше обычных слов в специфическом понимании данного учения. После якоря я съел лягушку после швейцарского сыра. Посмотрите на НЛП, или соционику, или на гороскопы. Сходства очевидны.
  2. Как можно больше слов на птичьем языке. Чтобы у неофита создалось впечатление, что это круто и ему надо больше узнать. А точнее вбухать больше денег в книжки, семинары и встречи. По тайм-менеджменту проводят семинары! Куча потраченного времени, за которое можно было съесть кучу лягушек. И это по нескольку раз в неделю.
  3. Непроверяемость результатов. Я знаю 3 адептов тайм-менеджмента, они часто опаздывают и срывают дед-лайны. Вы никогда не узнаете, насколько «успешнее вы стали», потому что тайм-менеджмент это процесс, а важны лишь результаты (кстати, именно поэтому теория решения изобретательских задач (ТРИЗ) — чушь собачья).
  4. Гарантируемое счастье. Об этом прямо в книге и написано, начиная с 8 страницы. И эта книга — «программа-минимум» (с). А дальше как у сайентологов: пройди 12 ступеней, вложив миллионы долларов.
  5. Сакральность знания. «Мало кто знал о том, что еще в 1926 году существовала лига «Время», распространяющая передовые технологии управления временем: мало кто был знаком с богатой историей отечественного тайм-менеджмента». (с) Ну, тут все понятно, гороскопы уже 2000 лет делают – они как-то понадежней. Интересно, в 1926 году это тоже называли тайм-менеджментом?

В-третьих, это просто не работает. Чтобы следовать всем этим методам, надо потратить кучу времени на их воплощение. Я, например, выполняю обязанности пресейла, гипа и аккаунта. Я как-то пробовал посчитать, сколько звонков и писем я отправляю/получаю в день, забил на третий день – за три дня получилось 37,2 письма и 22,7 звонка. Если я каждый раз после звонка буду вносить коррективы по методу «неделя-месяц» — у меня рука устанет писать и зачеркивать.

time_mng2

Окей, мб это я плохой и не быстрый. Но это не работает даже в выборе приоритетов для задач. В книге есть слезный пример, как надо учить детей тайм-менеджменту. Например, определить отстающие предметы и заниматься по ним. Чушь собачья.

На второй вышке в курсе организационного поведения нам рассказали замечательную историю.

Жил был д.т.н. и был он несчастлив. Он долго маялся, а потом в 40 лет решил сменить вид деятельности. И стал дальнобойщиком. Оказалось, что ему нравилось ехать по дороге, а не бумажки перекладывать.

Тайм-менеджмент же нас подталкивает закрывать слабые стороны, а не развивать сильные. Вот Аркадий Прокудин периодически что-нибудь забывал, но это не помешало ему достичь успеха.

В сектах это распространенный примем – навязывание ложных целей, борьба с внутренним я в угоду гуру.

Например, я отвожу на написание поста в блог 1 час. Поэтому тут полно опечаток и ошибок. Но я знаю, что если тратить больше времени – результата будет всего на 10% лучше. Преодоление этого разрыва возможно лишь за деньги. В противоположность Андрей Прозоров или Алексей Лукацкий этим зарабатывают себе на жизнь.

Как итог. Тайм-менеджмент — сомнительная вещь, калечащая вашу жизнь, т.к. противоестественна для нашего мозга. Есть более простые техники, которые сделают вашу жизнь проще. Интересно? Напишите в комментариях, и это будет в одном из следующих постов.

Всего вам доброго.

Аутсорсинг ИБ – будущее, которое может и не наступить

Оказалось, что тема аутсорсинга волнует многих. Вставлю и я свои пять копеек. Если лень читать много букв, то краткий вывод – у аутсорсинга информационной безопасности будущего в ближайшей перспективе нет. А теперь много букв.

outsoursing2

Лирика для вхождения в тему

Как-то месяца два назад наткнулся в ленте новостей на статью «почему западные методики бизнеса не приживаются в России» или как-то так. Главный посыл: потому что у нас другой менталитет. А вот вывод был неправильный – «давайте менять менталитет».

Вся стратегия аутсорсинга (слово-то какое буржуинское :)) строится на том, что мы доверяем компании аутсорсеру. А если не доверяем, то сможем с нее взыскать убытки по договору через суд. Как вы понимаете, чтобы не допустить второго, наше доверие должно быть избирательным. Помочь ему в этом может множество факторов, но главный – репутация. И это первая проблема.

Вчера я упоминал круглый стол у Алексей Лукацкого на Infosec2013. Там Алексей впрямую заявил – «в России репутация стоит ноль». И я был шокирован, какое большое количество фанатов Алексея его поддержало. На BISA саммите в 2014 году я решил уточнить у Алексея, изменилось ли его мнение (не дословное цитирование):

— Нет. У нас в куче банков происходят утечки и кража денег, но все остается как есть.

— Хорошо. Но начнем с малого, есть же личная репутация, и…

— А и ее нет. Про меня такое говорят, устал читать.

Т.е. в нашей сфере известный блоггер, формирующий общественное мнение, не верит в репутацию и что она чего-то стоит. Вот от этого и оттолкнемся.

У аутсорсинга нет репутации, а следовательно доверия к нему

Я затрону всего три грани, почему аутсорсинг — это не про нас:

  • со стороны заказчика;
  • со стороны рынка;
  • и со стороны продаж.

Почему аутсорсинг ИБ не нужен заказчику?

Аутсорсинг, в принципе, выгодная вещь. Например, чтобы не держать собственную логистическую структуру, проще нанять специальную компанию. Качество сервиса растет, прямые расходы известны, бери и радуйся. Но уже на этапе, когда мы переходим к аутсорсингу ИТ, а тем более ИБ – это мало работает.

Во-первых, это очень дорого. Посмотрите материалы Solar с SOC форума, в каждой презентации у них есть слайд, где затраты на внедрение собственного SOC и аутсорсинг сходятся в районе 3 лет (парни без контактов – вы еще не оплатили прошлый счет за product placement :) ).

Окупаемость внедрения SOC

Т.е. дальше аутсорсинг будет только дороже. Вообще, нанять 1 специалиста на аутсорсинг на рынке стоит 3 ФОТ от стоимости собственного специалиста.

Это не говоря уже о том, что, если вы берете на аутсорсинг сложные системы (те же SOC), вы их банально не сможете амортизировать, а любой бухгалтер вам скажет, что амортизационные отчисления — один из главных источников модернизации. Для сложных систем срок амортизации варьируется от 3 до 7 лет. Т.е. и здесь не выгодно.

Но вернемся к сути. Если вы увлекаетесь теорией литературы, то должны знать или хотя бы слышали, что есть с десяток классических сюжетов и остальное лишь вариация на тему. Один из этих классических сюжетов – разорившийся богач (Гобсек, например), от которого отворачиваются все, остается лишь пара верных слуг. В нынешних реалиях – обычно водитель, охранник и экономка. Можно долго рассуждать, почему и как, но основная причина такова: потому что эти люди тесно общались с хозяином и стали частью жизни друг друга.

Я не хочу сказать, что безопасники – слуги. Но это наиболее близкая к владельцу структура, призванная его защищать от всего, от чего сможет. Если он не доверяет собственным безопасникам, то кому ж доверять? Скажем прямо, безопасники – это наиболее преданная и лояльная к организации структура. Да, преданность и лояльность можно купить. Ведь всегда в условиях войны можно было купить наемников. Но надо быть уверенным, что вас не кинут в трудную минуту. И тут опять всплывает вопрос репутации.

Рассмотрим разные ситуации взаимоотношений. Например, я. Любой человек, работающий со мной знает, что я человек слова, у меня есть несколько пунктиков на счет сроков и другие заморочки. Но если я с кем-то договорился, то слово назад не вертаю. Это отношения человек–человек.

В ситуации отношений человек-организация все примерно также. Правда, возрастает неопределенность в отношении организации.

А вот в ситуации организация-организация все катится в кромешный ад. По сути, эти отношения переворачиваются в организация (аутсорсер)-человек (заказчик), т.к. в Заказчике за привлечение аусорсера отвечает 1 человек, он принимает решение, контролирует и получает результат. Сами понимаете, что в данном случае заказчик будет в положении Алисы в стране чудес. Аутсорсер для него совсем не прозрачен (кто сомневается, можете как физическое лицо повзаимодействовать с любой государственной или коммерческой структурой по нетривиальному вопросу).

Кто эти люди? Кому они расскажут мои тайны? Уйдут ли через месяц работать к конкурентам? И еще тысяча вопросов. И, увы, все эти SLA, NDA, KPI и прочее не дают ответа. Закачаешься, какая информация внутри тусовки циркулирует.

Собственного сотрудника хотя бы обматерить можно. А Оператора Антона — иди еще найди, кто это.

Почему рынку не нужен аутсорсинг ИБ?

Тут уже не буду растекаться мыслью по древу. Чтобы аутсорсинг работал, должно быть множество компаний с определенной репутацией. Это на рынке телефонов могут быть пионеры, которые загребают все деньги. На рынке услуг все совсем иначе. Если нет альтернативы, то не понятно чего ожидать. Сейчас вот Solar продвигает аусорсинг SOCов. Молодцы. Но мне не с чем сравнить. Я не понимаю ни ценообразования, ни своих затрат, не могу оценить качество сервиса. Да, и банально могу не доверять другим организациям в таком тонком деле как управление инцидентами. Потому что глядя в окно, я вижу совсем иную картину. Почему Solar Security считает себя особенной? «Где ваши доказательства?» (с)

Поэтому понятно, почему Игорь Ляпунов (директор Solar) говорит: «Ответственность за информационную безопасность на заказчике, нельзя ее переложить на аутсорсера».

Главный посыл: как только на рынке все будут играть по одним правилам с единой этикой поведения, тогда поговорим. Говоря проще, как Solar начнет отчитываться о пропущенных инцидентах и штрафах, что они заплатили, тогда имеет смысл присмотреться.

Почему аутсорсинг ИБ не продается?

Я обещал рассказать историю. Выполняю.

Жила была компания, оказывающая услуги по аутсорсингу. Взялись за дело они шибко, и скоро стали отличными специалистами в узкой области. Но потом уперлись головой в потолок (или дно, как посмотреть). Текущие их заказчики уже не покрывали их расходов, т.к. аутсорсинг услуг масштабируется линейно. Надо было искать новых. Решила наша компания развивать партнерскую сеть, стали они везде ездить и всех агитировать «продавайте нас!». Но не получилось, никто их продавать не захотел. История еще не закончилась, посмотрим, что будет.

К чему это я? Все просто: в цепочке аутсорсер-заказчик нет места партнеру (интегратору). Получается, что партнер может заработать только на скидке, которую даст аусорсер, т.к. интеграторских работ нет. И зачем заказчику работать с партнером, если можно напрямую с аутсорсером – мб и дешевле выйдет. К тому же я не уверен, что аутсорсер банально не уведет моего клиента. Вот и люди из истории – ходят по рынку и пробуют что-то сделать.

outsoursing3

В этом случае аутсорсер рассчитывает в основном на свои продажные силы, а их всегда недостаточно. Ирония: аутсорсеру, чтобы продавать аутсорсинг, нужны продавцы на аутсорсинге в партнерах. :)

Куда не кинь, всюду клин. Аутсорсинг дорого, стремно и ненадежно. Печаль.

Введение в экономику безопасности (пример)

В прошлый раз я рассказывал о вопросах, волнующих меня по поводу татаро-монгольского Ига. А сегодня поговорим о другом вопросе.

Счетовод

Поехали

Собственно, вопрос я поставил так — Как часто мылись в банях русские крестьяне?

Причиной этому послужил огромный спектр свидетельств и мнений — от того, что крестьяне вообще не мылись, до того, что русские были чистоплотней всех просвещенных европейцев вмести взятых.

Будем считать, что в банях моются лишь в холодный период времени. Летом можно и в речке помыться или под дождичком поскрестись. С поправкой на суровость климата в средней полосе России в то время примем холодный период, равный шести месяцам. Т.е. 6 месяцев мылись в банях, а в остальное время как-то по-другому.

Что такое баня? Традиционные русские бани (деревенские) делятся на:

  •  Бани, отапливаемые «по-чёрному», имеют открытый очаг, который прогревает не только камни, но и стены бани. Дым от очага выходит через дверь или отдушину в потолке. Обычно в ней есть каменка из валунов-окатышей и котёл для горячей воды. Протапливается дровами, предпочтительно лиственных пород (например, берёзовыми). При неправильной топке баня «горчит». Древесина внутри бани сильно коптится, в результате стены бани — тёмного цвета, но это также служит целям дезинфекции помещения бани.
  • Бани, отапливаемые «по-белому», бывают различных конструкций. В такой бане обязательно имеется каменная, кирпичная или металлическая печь с баком для нагревания воды. Такая баня требует для натапливания больше дров, однако намного проще и приятнее в эксплуатации. Такую конструкцию имеют и современные индивидуальные бани.
  • Баня внутри русской печи. Печь протапливается, в чугунах нагревается вода. После топки с пода печи убирается зола и насыпается солома. Жар сгребается в угол печи. После этого можно мыться, забравшись в печь и даже осторожно париться веником, чтобы не натаскать на себя сажи. Вероятно, отсюда происходит украинское название бани — «ла́зня»

Усредним эти данные, и будем представлять баню как помещение с источником тепла (печкой), нагретое до 80-100 градусов для пара (и до 40 градусов для воды), и где, кроме всего прочего, греют воду.

Сколько же потребуется дров, чтобы попариться в бане? Так, как это представляется в обществе — с троекратным заходом в парилку, с купанием в снегу (или обливанием холодной водой)?

На даче у меня есть печка-буржуйка. Чтобы в течение 4 часов там поддерживать приемлемую температуру (от 28 до 18 градусов), ее необходимо растопить приблизительно 10 паленьями (2 кг дров), и затратить на это около двух часов. Т.е. мы получаем 6 часов тепла.

Чтобы на моей буржуйке добиться искомых 80-100 градусов, потребуется в 3 раза больше времени и дров (будем считать зависимость линейной). Итого 6 часов и 6 кг дров, чтобы подготовить баню. Собственно, время не расходится с нашими представлениями. Нам известно, что баню надо предварительно протопить, это занимает определенное время. Скорректируем для простоты счета — уменьшим время до реального (2 часа), а количество дров увеличим до 10 кг. Расход современных печек подтверждает наш расчет (аналитический расчет сошелся с фактическим).

В итоге, чтобы вся деревня в 100 человек могла помыться в бане хотя бы раз в месяц (по 5 человек в бане), в год потребуется:

20партий*6месяцев*10 кг= 1200 кг дров

Могли ли крестьяне позволить себе потратить 1200 кг дров суровой русской зимой на помывку? Это с учетом, что надо еще и свои избы отапливать? Могла ли помывка в банях носить повсеместный характер? На мой взгляд, не могла. Помывка в банях носила скорее характер лоскутный.

P.S.: Есть мнение, что тонна дров — это приемлемая величина для заготовки на зиму на помывку. Если так рассматривать (люди ведь разные, силы у всех разные), то да – могли мыться и раз в неделю (тогда число дров увеличивается всего до нескольких тонн – 4-5).

P.S.S.: Если исходить из моих расчетов, то в деревнях могли мыться и каждую неделю. Заковырка оказалась в интерпретации результатов. Благодарность всем, кто топит бани, заготавливает дрова и поделился со мной знаниями по этому поводу.

Введение в экономику безопасности

Тяга к знаниямОт природы я человек любопытный. Любопытство мое неактивное, носит созерцательный характер. Не, я тоже любил разбирать все и смотреть, как оно устроено. Но не более, пальцы в розетку не совал. Один раз только попробовал запитать тетрис, намотав проволоку на контакты и сунув в розетку :)

Мой метод исследования — это «оказаться в нужном месте в нужное время». Посмотреть, как оно работает, увидеть какое-то редкое явление, завалить вопросами по предмету. Т.е. для меня первичен объект. Как разберемся с внешним объектом, так можно уже лезть внутрь — разбираться. А кто-то действует по-другому, например, разнообразные вивисекторы (это которые режут по живому, а потом исследуют как оно там).

Основой в моем любопытстве является простое соображение — вокруг полно информации. Если ее уметь обрабатывать, можно приблизиться к пониманию и уже делать какие-то выводы. На этом, кстати, и строится измерение безопасности.

Если учесть, что каждый объект обладает всей информацией о самом себе, информационный поток походит на шквал — утонешь и не всплывешь. С какого краю браться? Чего искать? Потому и ценится так искусство исследователя.

В чем залог успеха хорошего исследования? В умении правильно задавать вопросы. В основном себе, и уже на это рыть информацию.

Когда-то давно я ознакомился со знатной книжкой «Фрикономика. Мнение экономиста-диссидента о неожиданных связях между событиями и явлениями» (вторая часть не очень), за авторством Стивена Д. Левитта и Стивена Дж. Дабнера. Авторы доступным языком показывают необходимость вопроса при исследовании и обработке больших объемов данных на простейших бытовых примерах. Учат смотреть на вопросы с экономической точки зрения. Например, почему торговцы наркотиками продолжают жить со своими родителями? Всем рекомендую.

И вот я задался двумя новыми вопросами. Оба связаны с историей нашего народа.

Первый вопрос

Первый вопрос у меня связан с татаро-монгольским игом. Как много татаро-монгол могло прийти на Русь?

ЧингизханОбычный воин Орды — это всадник, с пикой и луком. Одна лошадь должна съедать в день до 14 кг корма (для легкой нагрузки зимой), уменьшим это количество до 10 кг для простоты счета (и скинем на мелкокостность монгольских лошадей).

Поэтому я не думаю, что монголы смогли бы собрать миллион воинов (или сколько там в учебниках пишут?). Что более вероятно? Чингизхан мог собрать под свои знамена примерно до 95 тыс. воинов. С поправками будем считать, что для похода на Русь и Европу (которую мы героически защитили от этой угрозы) монголы собрали 200 тыс. человек (150 тыс. всадников + 50 тыс. пеших с обозом и обслуживающим персоналом).

150 тыс. всадников — это минимум 150 тыс. лошадей, не считая запасных, которых надо минимум еще по одной. Таким образом, имеем 300 тысяч лошадей (это по минимуму), которые должны съедать до 3 миллионов кг корма в день или 300 тонн в день.

Здесь бы хорошо прикинуть, сколько корма произрастает на одном гектаре. Но тут у нас хуже всего, поэтому будем оценивать по траве Кинельская 100: урожай зеленой массы 30 т/га, семян 1,5 т/га. Уменьшим до 10 т/га исходя из следующих соображений: 1) это культивируемая трава, и в реальности растет не так бурно; 2) трава в степях немного не такая, как в полях, а в лесах ее совсем нет. Так что примем это как нашу экспертную оценку.

Т.е. весь этот огромный табун должен был пастись на 30 гектарах каждый день – не так плохо. Если монгол было миллион — то это 150 га в день. Много это или мало? Сложно сказать, для одного дня не особо много (100 га равно 1 квадратному километру). А если считать все стоянки? Обоз опять же не самый мобильный юнит – не однозначно все как-то. А еще зима в Сибири бывает, тогда уж травы не особо много.

Кто подскажет, сколько официально в летописях пишут численность Орды? Могли ли монголы дойти до Европы? А доходили ли они до Руси? Ведь война – это прежде всего обеспечение, фураж и походы, в иных войнах до прямых боев может и не доходить.

Во такой вопрос у меня возник :)  А про второй вопрос расскажу как-нибудь в другой раз.

Пролез: Как обманывают вендоры. Опыт глазами интегратора.

Пролез: Открытая безопасностьНедавно мы обсудили тему «Как обманывают вендоры. Опыт глазами интегратора». Опытные технологические продавцы помогли мне раскрыть следующие ситуации:

Продажа функций, реально не существующих в продукте.

Откаты — как они могут помочь вендору

Как создается статистика

Как делаются конкурентные сравнения

Предоставление отчетов стат. агентств по нужным годам и группам

Рассказы о несуществующих внедрениях

Помощь вендора

Искусственное старение продукта

Продажа продукта под видом ПО, но на самом деле — это подписка на услуги со 100% стоимости продления.

Эксперты на примере Алексея Волкова (альфа-версия Камина)

Эксперт на примере Алексея Волкова

Думал, завязал с блогосферой, но нет. Такая судьба безопасника – тебе валятся рассылки. Вендоры приходят к тебе и подписывают тебя на рассылки, интеграторы приходят – подписывают, приходишь на конференцию — подписывают, читаешь журналы – совсем подписывают. При чем, этот поток бесконечный. 99% — удаляется по названию темы письма.

На этой неделе прилетело аж два письма от BISА. Первое называется «Откровения про ИБ стартапы», второе – «Право на ошибку – одна из основ рыночной экономики». Оба названия прекрасны, пишут их правильные люди, что бы они привлекали внимание.

Читаю первое письмо:

!БДИ: ИТ-директора или СIО, входящие в советы директоров и влияющие на бизнес, имеют компетенции, опыт, связи, репутацию, команды – все то, что необходимо для организации стартапов. Однако они не создают стартапы – я, пожалуй, не знаю не одного яркого примера. Почему?

Вот, уж странный вопрос от журналиста. Ренату Батырову можно было бы ответить на уровне детского сада – «потому», и успокоиться. Но давайте разберемся. Во-1, а зачем это им? Нормальный CIO зарабатывает нормально, зачем ему своей стартап?

Во-2, во вторых, не обязательно иметь стартап (как что-то новое и инновационное), достаточно иметь побочное юрлицо. У нас что-то коло 80 миллионов юридических лиц, при 146 миллионах населения, или 1,5 человека на юрилицо. Сколько среди них CIO? =)

В-3, многим техническим специалистам, надоедает работать «на дядю» и они идут организовывать свой бизнес. И проваливаются, почему? Вроде компетенция и опыт есть, а не пошло (знавал я одну молодую компанию, где на 5 человек было 10 сертификатов С CIE). Потому что в новом бизнесе, и стартапе особенно – в первую очередь надо уметь продать себя, а уже потом сделать. А надо ли это успешному топ-менеджеру?

Ренат, ответил более мягко.

Но похвально желание журналиста, найти какую-то новую фишку. Но не получилось, не понимание сути — рушит весь материал.

«Инновации требуют экспериментов, поэтому инновационная среда должна быть терпима к ошибкам. В армии порой награждают именно за ошибки. Если боец, например, наступил на мину и потерял ногу, то его отправляют домой с медалью. Разве его учили наступать на мины? Даже в армии понимают, что без ошибок и потерь не бывает побед. Так же невозможно создать компанию, в которой все сюрпризы будут приятными.»

Олег Седов

Каким образом это соотноситься с тем, что «Право на ошибку – одна из основ рыночной экономики», тайна великая есть. Рыночная экономика не дает права на ошибку, если ты ошибаешься – ты разоряешься и идешь работать «на дядю». В экономике есть огромное кладбище, где на 1 ларек у метро, приходиться десятки таких же разорившихся бизнесменов. Что уж говорить про крупный бизнес.

Про посыл «в армии награждаю за ошибки», это финиш. Олег, я все понимаю. Но если бойцу оторвало ногу, ему не обязательно дадут медаль. А, вот, что точно сделают, так внесут новый раздел в Устав (который, как известно, написан кровью) или инструкцию по безопасности. А у вас получается, что награждают за глупость.

Есть такое «правило Марса»: эксперт – это человек не из нашего города. Один из выводов из этого правила, что следует смотреть на то, кто говорит. Например, условного бухгалтера можно послушать по теме организации финансовых потоков (хотя лучше слушать финансового директора), но не стоит совсем уж слушать по теме войны в Сирии. Т.к. экспертиза может быть показана: текущей деятельностью плюс свершения. Классическая картина – все разбираются в футболе и геополитике, а «сортиры не чищены» (с) Преображенский

 

В прошлый раз, я рассказывал, как Алексей Лукацкий говорил про Евгения Царева. Алексей говорил, что не надо слушать человека, ничего не сделавшего самостоятельно в области, в которой называет себя экспертом. Но есть и куча обратных примеров. Есть, например, Алексей Волков.

Алексей — практик информационной безопасности. Он начальник отдела эксплуатации средств защиты и удостоверяющего центра. Значит, он компетентен в этих вопросах, хоть не много. И я скорее послушаю Алексея и его претензии к какому-нибудь условному фаерволу, чем рассуждения маркетологов или купленных экспертов. Аналогично, про организацию ЭЦП.

Поэтому всегда надо смотреть, кто говорит. Правило срабатывает в 99 случаях из 100.

Всего вам доброго.

«Топим лед» по Прозорову

Что-то не оставляет меня тема блоггерства. Пошел почитать, что пишут. Заглянул к Прозорову, последняя запись о фразах, которые «топят лед» в общение с безопасниками. Посмотрим предметней:

— Сколько человек в подразделении ИБ, кому подчиняется?

"Ломая лед" по Андрею Прозорову
С места в карьер. Вы бы еще про бюджеты спросили.

— Имеется ли перечень критичных ИС и в каком виде?

И сразу вопрос про КИС (или по старому КСИИ). Учитывая, что в 99% заказчиков КИС нет, вопрос в пустоту.

— Сколько документов регламентируют ИБ, где хранятся актуальные версии, как часто пересматриваются?

Второй вопрос начинающийся со «сколько». Тут явно не хватает еще «сколько у вас денег в этом году». Что интересно, не задается более актуальный вопрос – что это за документы. А уж место хранение актуальных документов… оно нам зачем?

— Используются ли мобильные устройства для работы, как они защищаются?

Solar продает MDM решения? Или ведет разработку VPN клиента с ГОСТОм? Мы явно чего-то не знаем.

— Каким образом регламентируется и контролируется использование съемных носителей?

Этот вопрос из арсенала продавцов DLP. Что-то я не слышал, что бы у Solar был такой функционал, или это бытность памяти по Infowatch?

— Что с правами администратора для рядовых пользователей?

Как-то хаотично скачем. Нумерации в списке нет, но думаются они стоят по уменьшению приоритета. Вопросы съемных носителей и админских прав, это, конечно, проблема, но не самая первая.

— Каким образом пересматриваются и изменяются права доступа пользователей к ИС?

Вопрос для продажи IDM от Solar =)

— Есть ли SIEM, кто настраивает правила корреляции?

Кто настраивает правила… кто настраивает… Если SIEM есть, то специалисты заказчика. Если нет, то никто. Продаем сервис от Solar.

— Кто проводит сканирование уязвимостей, как часто, каким средством?

Странно, как-то сформулирвоан вопрос. Почему нет вопроса – провдиться ли вообще сканирвоание?

— Где и как фиксируются инциденты ИБ?

Слово «фиксируются» имеет значение: заносить в журнал факт. Про выявление инцидентво ни слова. Solar inView только фиксирует инциденты? =)

— Насколько выполняете требования Приказа 21?

Надо понимать, другие требования 152-ФЗ выполнять не надо ;) Или они не выполняются продуктами Solar?

— Какие грифы конфиденциальности проставляются на документах?

«Какие грифы» — а их несколько? Знаю три грифа по гостайне, по конфиденциальности в лучшем случае ставиться один – конфиденциально. Или речь идет о форме, крючк там, или плюсик ставиться? Очень информативный вопрос.

— Проводились ли проверки регуляторами и каковы их итоги?

99% заказчиков не сталкивалось с проверками по безопасности.

— Каким образом проводится обучение и повышение осведомлённости пользователей?

Норм вопрос, но задача не в первой сотне.

— Какие крупные инциденты ИБ происходили за последние пару лет?

Андрей, а вы NDA подписали, что бы вам такое рассказывали?

— Начали ли что-то делать по теме импортозамещения?

Андрей, продаете ArcSight под маркой Solar? ;)

— Что запланировано по ИБ на этот и следующий год?

Уже не плохо.

 

Как видно, нет ряда ключевых вопросов. Один из них – а какие насущные проблемы есть сейчас?

Всего вам доброго.

История об реалиях информационной безопасности на примере одного ограбления

Есть одна замечательная история про ограбление банка. Очень это похоже на наше с вами бытие по защите информации.

Рассказывают, что когда-то, в далёкой провинции, грабители зашли в банк.
Один из них крикнул на входе: «Не двигаться! Деньги принадлежат банку, а жизнь принадлежит вам!»
Все присутствующие смирно легли на пол.
Это пример того, как термин меняет восприятие мира.

Одна женщина провокативно легла на стол, но грабитель сказал ей: «Это ограбление, а не изнасилование. Веди себя соответственно!»
Это пример того, как должен вести себя профессионал – концентрироваться на цели.

В процессе побега с места ограбления, самый молодой из грабителей (с академической степенью) сказал самому старому, который едва окончил начальную школу: «Эй, старик, может быть, посчитаем, сколько мы взяли?»

Старик ответил сердито: «Не будь дураком, это очень много денег, чтобы их пересчитывать. Подождём, пока объявят в новостях, сколько банк потерял».
Это называется опыт – на сегодняшний день опыт важнее степени.

После того, как грабители исчезли, директор банка сказал бухгалтеру, чтобы тот позвонил в полицию. Бухгалтер ответил: «Погоди, давай сначала добавим к украденной сумме те 5 миллионов, которые мы похитили в прошлом месяце и скажем, что их тоже украли».
Это называется – использовать любую возможность.

Назавтра в новостях объявили, что банк был ограблен на сумму 100 миллионов. Грабители пересчитали добычу, но насчитали всего 20 миллионов. Грабители начали ворчать: «Мы рисковали жизнью из за несчастных 20 миллионов, в то время, как банковское начальство похитило 80 миллионов не моргнув глазом. Наверно лучше изучать, как работает система, вместо того, чтобы быть простым грабителем.
Это называется – знание – сила!

Директор банка был очень доволен, а особенно тем, что его потери на бирже были замаскированы ограблением.
Это называется – не бояться риска.

Дай человеку пистолет, и он сможет ограбить банк.
Дай человеку банк и он сможет ограбить всех!

Если у вас произошло ограбление, вы на пути к успеху.